[COMO] Mensajeria Instantanea Blindad AIM

[redeyegt]

Nota: Este tema no tiene muchos dibujitos.

Como ya mencione en un tema anterior (y en otros varios), NO existe nada que sea inviolable o invulnerable,
solo existen aquellos que son mas difíciles o complejos de romper/alterar/violar/vulnerar. Sabiendo esto como
usuarios tenemos la obligación de protegernos de la mejor manera posible, haciendo que nuestros datos privados
permanezcan así.

Uno de los lugares donde mas corremos el riesgo de ser atacados es en los sistemas de mensajería, ya sea por un
novio(a) celoso, un vecino envidioso, hasta el mismo gobierno, hay suficientes casos donde se ha visto que por unos
cuantos mensajes interceptados personas han ido a prisión, otras han sido torturadas hasta casos de asesinato. Entonces
porque correr el riesgo de dejar a la vista nuestra información sensible?

Existen por puñados los clientes de mensajería instantánea unos mas seguros que otros llámese: theerema, telegram,
wire, signal, whatsapp, etc etc. Todos tienen claro sus ventajas y desventajas frente a los otros, sin embargo todos
tienen denominadores comunes como:

a. Usan un numero de teléfono para registrarse. La mayor fuente de vulnerabilidad vía clonacion de terminal y/o clonacion de sim.
b. No son (o al menos no al 100%) opensource lo que evita saber si realmente trabajan como dicen que trabajan.
c. Si es gratis (y no opensource) la fuente de comercialización "Eres Tú".
d. Tienen un (o varios) servidor(es) centrales pertenecientes o manejados exclusivamente por su empresa. (centralizado)
e. Si no lo usan todos, "no me conviene". Lo que nos lleva forzosamente a "que empresa decidiré regalarle mis datos? (y privacidad)"
f. No todos son o cuentan con clientes multiplataforma/multiarquitectura.

Vamos entonces a dividir este tema en 2 partes, la primera la parte normal que cualquiera podrá leer y lograr en pocos
paso usar este método de mensajería instantánea encriptada "Blindada" (AIM- Armored Instant Messager) y 2 la parte
técnica donde se explicaran los teminos empleados, la criptografia y demás partes "complejas".

PARTE 1:
INSTALACIÓN - CREACIÓN DE CUENTA - ENCRIPTAR - USAR

La instalación de un cliente de mensajería AIM dependerá de nuestro equipo ya sea un smartphone (android-iOS) o si es
PC (linux, windows, mac), para esto existen diferentes clientes para cada plataforma y todos cumplirán la función
para la que fueron diseñados, lo que quiere decir que a diferencia de otros mensajeros como whatsapp, no existe un solo
cliente o aplicación oficial, sino varias desarrolladas por distintos grupos de desarrolladores muchas opensource como
algunas privativas.

Aquí dejo una lista de los clientes separados por plataforma en orden indistinto ya que todas son funcionales:

SMARTPHONE (la mayoría de clientes son multicuenta):

a. Chatsecure android e ios: https://guardianproject.info/apps/chatsecure/
*Tambien disposible en f-droid habilitando el repositorio de "The guardian project"

b. Zom im android e ios: https://zom.im/

c. Conversations solo android: https://play.google.com/store/apps/d...ource%3Dgithub
en github: https://github.com/siacs/Conversations
*Disponible tambien en f-droid (gratis)

d. xabber android: https://www.xabber.com/
*Disponible en google play y f-droid

e. Beem android: https://beem-project.com/
*Disponible en google play y f-droid

Existen muchos otros, pero estos son de los mas conocidos y utilizados.

NOTA: Todos necesitan tener instalado y activo Orbot

Orbot: https://guardianproject.info/apps/orbot/
Desde la pagina de tor: https://www.torproject.org/


PC:

Pidgin linux, windows y mac: https://pidgin.im/download/

Tor messenger linux, windows y mac: https://trac.torproject.org/projects...nger#Downloads

Jitsi linux, windows y mac: https://jitsi.org/Main/Download

Adium solo mac: https://adium.im/

Cryptocat linux, windows y mac: https://crypto.cat/

Existen otros pero estos igualmente que en android son los mas conocidos y utilizados.

NOTA: Jitsi y Pidgin para mensajería como la usaremos necesitan tener instalado Tor browser.
Tor browser: https://www.torproject.org/

Una ves instalado cualquier cliente en cualquier dispositivo, necesitamos una cuenta para poder comunicarnos,
estas cuentas en su gran mayoría pueden ser creadas automáticamente desde el cliente mismo y algunas otras pueden
ser creadas desde la pagina oficial del servidor.

La lista de servidores disponibles gratuitos pueden encontrarla en: https://xmpp.net/directory.php

O usar alguna de las siguientes que son algunas de las mas confiables:

1. https://otr.im/ server: jabber.otr.im
2. https://rows.io/ server: rows.io
3. duckduckgo server: dukgo.com
4. https://calyxinstitute.org/projects/...er_xmpp_server server jabber.calyxinstitute.org
5. https://jabber.at/ server: jabber.at
6. Muuuuuuuuuuuuuchos otros mas.

COMO CREAR LA CUENTA?:
Vasta con abrir el cliente que instalamos, ir a la opción "crear una cuenta" o marcar la casilla "crear una nueva
cuenta en el servidor", escoger un nombre de usuario como: [email protected] y colocar al final el nombre del
servidor, ejemplos:

[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]

*Reemplazar "miusuario" por el nombre que quieran de su usuario y después de la @ el nombre del servidor escogido

NOTA:
Muchos de los clientes o aplicaciones traen ya predefinidos algunos servidores y basta con escoger alguno de la lista desplegable.

Por ultimo escoger una contraseña segura para nuestra cuenta.

ENCRIPTAR

Para encriptar nuestros mensajes, muchos de los servidores (por no decir todos) requieren forzosamente que exista TOR y una encriptacion end to end entre los que se comunican y no dejaran que se envien o reciban mensajes si no se cumplen estas características, para ello muchos de los clientes ya traen por defecto tres opciones de encriptacion:

1. OTR
2. OMEMO
3. PGP

Deberemos de seleccionar alguna de las tres, la mas comun y que es utilizada en clientes pc como smartphone es OTR
que viene por default en la mayoría de clientes u oMEMO que es utilizada mayormente entre clientes smartphone.

Una ves seleccionado nuestro método de encriptacion y que nuestra conexión pase por la red Tor, solo basta con agregar
amigos tal como lo haríamos en cualquier otro software de mensajería, con la diferencia que estos no estarán en la lista
de contactos de nuestro teléfono (si lo usamos en smartphone) sino que deberemos de saber su usuario y agregarlos
uno a uno.

LLAVES OTR/OMEMO/PGP

Para asegurarnos de que estamos charlando con la persona exacta con la que queremos comunicarnos, estos servidores y
clientes, no nos permitirán conversar de manera segura con ningún contacto hasta confirmar que son quienes dicen ser,
para ello cuentan con 3 métodos de autentican:

a. codigo QR
b. llaves omemo, otr y pgp
c. pregunta secreta.

Una ves agreguemos a nuestro contacto le aparecerá a el (o ella) un mensaje diciendo que alguien quiere agregarla a su
lista de contactos y si desea permitirlo, si nos conoce, aceptara, pero aun no podemos conversar, para ello debemos primero
verificar al interlocutor.

Verificación con QR:
Si estamos uno al lado del otro, basta con desplegar el codigo qr en nuestro dispositivo y que nuestro contacto lo
escanee con el suyo y asi verificara al contacto, y luego hacer lo mismo a la inversa.

Verificación con Llaves omemo, otr, pgp:
Para esto, debemos de enviar por un canal seguro nuestras llaves al contacto a agregar, ya sea vía correo seguro con pgp
en una nota (física), en persona, o cualquier otro medio seguro para poder enviarla, esto lo hacen ambos para confirmar la identidad
de ambos en sus respectivos dispositivos.

Verificación con pregunta secreta:
Esta es sin duda la mas fácil, lo único que hay que hacer es seleccionar la opción de verificar por pregunta, en donde
nosotros ingresaremos una pregunta y respuesta, que sera enviada al teléfono del contacto, quien deberá de contestar correctamente
respetando mayúsculas y minúsculas, espacios, números y caracteres especiales (si los hubiera) (case sensitive) y viceversa,
así ambos se autentificaran rápidamente.

Una ves realizados estos pasos, se iniciara una conversación por medio seguro, a través de la red tor, encriptado y verificado.

En resumen paso a paso hasta agregar un contacto (en portugués creo, pero es entendible)

PARTE 2 TÉCNICA (FAQ)

Que es XMPP: https://es.wikipedia.org/wiki/Extens...sence_Protocol
En resumen es un protocolo de mensajería abierto (opensource)

Que es un servidor xmpp/jabber:
Los servidores xmpp/jabber ya sean gratuitos o de paga, no son mas que servidores descentralizados que permiten
servir el protocolo xmpp (similar a p2p) donde cualquiera gratuitamente o pagando puede crear una cuenta con la
que podrá comunicarse con otros usuarios indistintamente de en que servidor crearan ellos sus cuentas, el funcionamiento
es muy similar a lo que se ve en *Diaspora, GnuSocial o quitter (el twitter libre), es igualmente parecido a lo que
vemos a diario en un correo electrónico, alguien puede tener una cuenta de yahoo y enviar y recibir correos de alguien
que tiene cuenta en gmail.

Que es OTR: https://es.wikipedia.org/wiki/Off_the_record_messaging
En resumen es un protocolo de cifrado opensource altamente seguro (fuerte) que permite tanto el cifrado como la
autenticacion de usuarios.

Que es oMEMO: https://es.wikipedia.org/wiki/Omemo
Similar al anterior con la diferencia que permite el intercambio de archivos.

Que es PGP: https://es.wikipedia.org/wiki/Pretty_Good_Privacy
Al igual que los anteriores es un protocolo de cifrado o criptografia que utiliza llaves de verificación
entre usuarios.

Porque no hay un solo cliente o programa?
Al ser un medio de mensajería abierta (opensource) cualquier puede estudiar, verificar y/o auditar el código así como
las apis y crear su propio cliente que soporte todos los protocolos necesarios, permitiendo que el usuario decida que o
cual cliente o servidor le conviene mas según su código, confianza en los desarrolladores o mantenedores, y al ser
federado y no centralizado hace mas difícil a un atacante poder violar la seguridad de un cliente y un servidor existiendo
miles de posibilidades de combinar clientes y servidores.

Porque vía tor?
Tor es una de las redes mas seguras al momento y cualquier paquete que pase por ella es prácticamente irrastreable, de
igual forma pueden saber mas sobre tor en su pagina oficial: https://torproject.org

Porque tengo que verificar a mi contacto y el a mi?
Por motivos de seguridad entre interlocutores y evitar suplantaciones de identidad es necesario verificar la autenticidad
de la otra persona antes de poder iniciar una conversación.

Puedo tener mi propio servidor xmpp/jabber?
Claro que si, es mas, para empresas que cuidan su privacidad y comunicación entre empleados es recomendable tener su
propio servidor xmpp, y no solo empresas, grupos activistas, o grupos de amigos pueden hacerlo, existen bastantes guiás
y tutoriales por la web de como hacer fácil, rápido y gratis con herramientas opensource como prosody ver aquí: https://is.gd/5rES6n

Si mi amigo tiene un cliente/app/programa diferente y esta en un dispositivo diferente se podrá comunicar conmigo?
Claro que si, no importa el cliente, sistema operativo o servidor donde se creara la cuenta, todos pueden comunicarse
entre si.

Queda registro de mi actividad y la de mis contactos guardada en los servidores?
Si y NO, todo depende del servidor que escojamos y la manera en la que este configurado, la mayoría no guardan registro
de nada salvo el hash de tu contraseña y usuario para poder autenticarte al iniciar sesión y dado a que toda la comunicación
es encriptada y vía tor, ningún administrador de ningún servidor podrá fisgonear en tus conversaciones, quien es la otra
persona ni tu ip real, ni nada.

Y si un atacante quiere clonar mi teléfono/sim o realiza ataques MITM u otro tipo de ataques ?
Al no necesitar un mail o numero de teléfono para registrar la cuenta, aunque tu terminal sea clonada o tu sim, no podrá
nadie interceptar los mensajes como pasa con aplicaciones conocidas como whatsapp. y en el caso de ataques MITM siendo
que todas las comunicaciones son cifradas (y verificados los contactos) ademas de pasar por la red tor, es básicamente
imposible que un ataque como esos sirva de algo, lo único que podrá ver el atacante es "Basura"

Existe alguna vulnerabilidad conocida?
SI, como todos los sistema informáticos la vulnerabilidad mayor es el propio ser humano, si por ejemplo no proteges con
contraseña tu terminal (teléfono, pc y software/app) alguien lo roba o accede a el sin tu consentimiento, podra ver
tus conversaciones y copiarlas. Por lo que se recomienda siempre bloquear el teléfono o pc con pin/contraseña/patrón y
bloquear el acceso al programa o app igualmente. También en el caso de que seas engañado por alguien para instalar un
programa o app maliciosa (normalmente un RAT) que permita el acceso remoto a tu dispositivo y de esa manera puedan observar
tus actividades.

Que es un RAT?
Ver aquí: https://en.wikipedia.org/wiki/Remote...ation_software

Cuantas cuentas puedo tener?
Las que quieras o necesites, la mayoría de los clientes soportan multicuentas, es decir que en un mismo programa o
aplicación podrás tener la cantidad de cuentas que necesites sin restricción.

Porque debo confiar?
No debes si no quieres, sin embargo aquí algunos beneficios, Xmpp, otr, omemo, pgp, tor y sus clientes (software) son
protocolos, servidores y aplicaciones opensource, ademas de descentralizados lo que permite que cualquiera pueda ver,
estudiar y auditar el código, encontrar fallas y reportarlas, tienen miles de colaboradores globalmente, y al menor
signo de fallo o vulnerabilidad se pondrán a la tarea de resolverlo lo mas pronto posible.

Adicionalmente al ser federado y no centralizado no depende de una empresa en particular, no negocian o comercializan con tus datos
(no tienen acceso a ellos de todas formas), no te trataran de vender publicidad ni nada, no existe un solo servidor sino
cientos (a escoger según tu preferencia).

Los protocolos de cifrado, los túneles o vías de comunicación y todo lo que envuelve este tema lleva años a la luz del
mundo y a sido estudiado y auditado minuciosamente asegurando así un alto grado de confiabilidad.

Porque es mas seguro que los mensajeros mas populares como whatsapp, telegram, messenger, signal, etc?
No depende de un numero de celular para verificar al usuario (punto clave ya mencionado)
No es propiedad de ninguna empresa.
Es opensource
Usa cifrado forzoso.
No permite la comunicación entre usuarios si no es cifrado, via tor y autenticado el interlocutor.

No te creo nada!!!!
Que bien por ti, lo mejor que podemos hacer siempre es dudar y ser escépticos, por favor investiga por tus medios
acerca de xmpp/jabber, sus servidores, los clientes, sobre tor, sobre los protocolos de cifrado y su implementación,
no confíes en nadie, en todo momento duda y cerciorate de que lo dicho es cierto y amplia la información.

Porque no van a vender mis datos?
Segmento extraído de la web: Fuente del segmento (en spoiler)

Spoiler:

"Ahora que Snowden ya ha salido en televisión hablando de metadatos podemos referirnos más fácilmente a ellos. A cada acción que realizas con programas en Internet o directamente con el uso del teléfono inteligente o los ordenadores se asocia una serie de informaciones que relatan quién eres, dónde estás, con quién, a qué hora, con qué frecuencia y más. Es como las llamadas de teléfono, como le dijo Snowden a una periodista, si tú llamas a una clínica veterinaria puede que tengas una mascota y si llamas a la sede de un partido político es posible que tengas alguna relación con ese partido. �� Y todo ello sin conocer el contenido de las conversaciones. Si esto lo multiplicas por los cientos o miles de actividades que realizamos cada día mediante los teléfonos y ordenadores, las empresas que te dan sus servicios o productos “gratis” a cambio de dicha información en poco tiempo acaban sabiendo de ti más que tú mismo y tu entorno. Afortunadamente, cada vez más servicios de mensajería cifran o dan la opción de cifrar tus mensajes para que nadie más pueda leerlos. Pero eso no evita que sigan recolectando tus metadatos y rastreando tu actividad en Internet y fuera de ella. El hecho de que sistemas de mensajería, en este caso, como Whatsapp o Telegram tengan a todos sus usuarios pasando y registrando movimientos por sus propios servidores facilita enormemente el seguimiento personalizado de cada usuario y sus relaciones. Y el que tengas que usarlo con sus programas oficiales o con programas que funcionan mediante llamadas a otros que desconocemos, hace que puedan acceder a la información que hay en tu teléfono u ordenador como un valor añadido. XMPP es un sistema de mensajería descentralizado, es decir que hay cientos o miles de servidores entre los que se reparte la información y cada día surgen nuevos, por lo que no es fácil hacer un seguimiento paso a paso de las actividades y relaciones de cada usuario con los demás o con otro tipo de actividades en Internet o fuera de ella como cuando todo tiene que pasar por el servidor de una única empresa. Cada servidor tiene información de sus propios usuarios, pero los servicios para redes libres disponen de una política de privacidad confiable que no tiene nada que ver con las condiciones de uso que se acaban aceptando sin leer en los servicios llamados privativos. En las condiciones de uso de esas empresas tú estás aceptando que la información que tienen sobre ti puede ser cedida a terceros, es decir vendida al mejor postor o entregada a gobiernos o desconocidos. Y además la empresa en cuestión también la tiene. Los clientes o programas con los que accedemos a los servicios de mensajería libre desde nuestros teléfonos u ordenadores son Software Libre, por lo que no solo tienen mil ojos asegurándose de que hacen lo que dicen hacer, sino que van mejorando cada día tanto en seguridad como en funciones. Y todo esto es posible porque XMPP es un protocolo estándar libre que define cómo se tienen que comportar los clientes y los servidores para que la comunicación funcione. Por tanto cualquier desarrollador puede crear programas para usarlo basándose en dicho protocolo y cualquier persona o colectivo con un servidor conectado a Internet puede instalar un servicio y todos serán capaces de comunicarse entre sí, gracias a que además, XMPP es un servicio federado."

VIDEOS RELACIONADOS

Hasta aqui por ahora, si tienen dudas por favor pregunten, espero disfruten del tema y lo pongan en practica. Saludos a todos.

"No porque creas que no tienes nada que esconder debes de regalar tu privacidad al mejor postor"

FUENTE: Redacción propia salvo segmento especificado.

ACTUALIZACION:

Con las nuevas actualizaciones de Whatsapp se avecinan nuevas vulnerabilidades y ataques contra la privacidad, y pensando en eso ya están circulando por la red noticias y notas donde recomiendan pasarse a alguna alternativa menos peligrosa, pero de todas llamo mi atención una que hace un cuadro comparativo de algunos clientes de mensajería actualizados y mas populares, dentro de los cuales muchos son o están basados en XMPP y sus diferentes métodos de encriptacion.

Aquí la tabla:

No cabe duda que a pesar de tanta y tanta aplicación "famosa" los expertos en seguridad no dudan en recomendar siempre XMPP.


Extrato de la fuente original

Aplicaciones de mensajería más seguras. Conversations: Esta es una aplicación de paga para Android (gratis en fdroid), es de código abierto y utiliza el protocolo XMPP + Omemo, cuenta con una interfaz fácil de usar y cuenta con soporte para imágenes, chats de grupos y ofrece anonimato Riot: es una aplicación gratuita para Android y iOS, puedes compartir imágenes, videos y archivos, utiliza el protocolo Matrix + Olm, permite grupos de chat y es multidispositivo y cuenta con el sistema de verificación de claves PFS. ChatSecure: esta es una aplicación para iOS ofrece encriptación a OTR y utiliza el protocolo XMPP + Omemo, cuenta con el sistema PFS. Jitsi: Es compatible con los sistemas operativos Windows, Unix y Mac, es una aplicación de mensajería instantánea, videoconferencia y VoIP, utiliza el protocolo XMPP + OTR. Signal: esta es una aplicación gratuita, compatible con Android y iOS, se pueden enviar mensajes de texto, imágenes, videos y utiliza el protocolo SignalProtocol. Telegram: esta aplicación es compatible no solo con Android, iOS y con los sistemas operativos Windows, Unix y Mac, utiliza el protocolo Telegram Protocol, es conocida como la aplicación de mensajería más rápida del mercado, se pueden enviar archivos sin ningún límite de tamaño.

[tom1260]

Gracias por el gran tema que nos has puesto y por las explicaciones que nos has dado y que no creo que sea difícil de realizar,
ahora bien yo si tengo una duda por lo que te pregunto ¿todos esto que explicas se podría hacer con Skype (antiguo messenger
de windows)? y si se puede ¿Se aplicaría igual?

[Florderetama]

¡Gracias redeyegt!

[She_Devil]

Grax mil por compartir esta Valiosa información!

[baduser]

Vamos a intentar esto, gracias compañero!!!

[maldini]

Gracias x el desarrollo de este tema bastante interesante!!

[Orpheus96]

Gracias amigo redeyegt por tan interesante y bien desarrollado tema, hay muchas cosas que desconozco, así que lo enviaré a favoritos para estarlo desmenuzando con calma.



Saludos!!

[matigari]

[redeyegt]

Iniciado por tom1260 Gracias por el gran tema que nos has puesto y por las explicaciones que nos has dado y que no creo que sea difícil de realizar, ahora bien yo si tengo una duda por lo que te pregunto ¿todos esto que explicas se podría hacer con Skype (antiguo messenger de windows)? y si se puede ¿Se aplicaría igual?

En teoría si podrías hacer pasar tus conexiones incluido skype vía tor, pero no seria recomendable porque seria demasiado lento (lag) y no podrías encriptarlo directamente desde skype.

Para tal efecto podrías usar pidgin que tiene plugin de skype y otr, así usarías la misma cuenta y encriptado, aunque siendo un servicio de M$ no le confiaría tanto.

Así que mejor te recomiendo esto, en lugar de skype podrías usar siempre una cuenta xmpp/jabber con encriptacion OTR pero a través de por ejemplo https://jitsi.org/ (ya lo había mencionado arriba), funciona igual que skype, pero claro igual que skype no valdría la pena pasarlo por la red tor (aunque se puede) por el mismo lag, en su lugar lo mejor seria usar un VPN y una cuenta exclusiva para video llamadas adicional a la cuenta para mensajería.

Ahora bien si lo único que necesitas es la mensajería encriptada con la cuenta de skype, es posible siempre usando pidgin u otro de los clientes ya mencionados, seria mensajería encriptada pero nuevamente, estarías usando un servicio de m$ por lo que no seria del todo confiable.

A todos los demás, gracias por pasar, comentar y apoyar, un saludo.

[tom1260]

Gracias a ti redeyegt por habernos enseñado todo esto y gracias por tu respuesta habrá que tenerlo en consideración.